网络实验报告二三四.docx

1、网络实验报告二三四计算机网络实验 学 院：专 业：班 级：姓 名：学 号： 实验二：数据链路层数据包抓包分析实验内容（1）安装Wireshark软件。（2）掌握抓包软件的使用（3）掌握通过抓包软件抓取帧并进行分析的办法实验步骤（1）常用的抓包软件包括Sniffer、NetXRay、Wireshark (又名EtheReal)。 我们采用免费的Wireshark，可以从http:/www.wireshark.org或其他网站下载。安装完成后，Wireshark的主界面和各模块功能如下：命令菜单（command menus）：最常用菜单命令有两个：File、Capture。File菜单允许你保存捕

2、获的分组数据或打开一个已被保存的捕获分组数据文件。Capture菜单允许你开始捕获分组。显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：Wireshark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。分组首部明细（details of selected packet h

3、eader）：显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。如果利用TCP或UDP承载分组， Wireshark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会被显示。分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被捕获帧的完整内容。（2）下面我们进行抓包练习。在capture菜单中选中options,可以设置抓包选项，如下图所示，这里我们需要选择要对其进行抓包的网卡。选择完成后按“start”开始抓包。过几秒钟后选择菜单capture-stop停止抓包。显示抓包结果

4、：任意选中一帧，可以看到该帧所在的各层分组的头部如下：通过头部信息可以看出，该帧在数据链路层使用的是Ethernet II协议，到网络层被封装为IP数据包，到传输层被封装为UDP数据包,没有应用层协议。点开Ethernet II前的+号，可以看到该帧在数据链路层的详细信息：（3）下面我们进行抓包实战并按要求回答问题。假定如下拓扑： 我们用主机A ping 主机B,同时进行抓包：在抓包结果中我们可以看到如下4个包：依次选中这4个包，点开首部明细区Ethernet II前的+号，可以看到详细信息：分析这些信息，可以发现ping的过程如下：（两人一组实验，按实际实验结果填写）1主机A发出ARP包询问

5、“谁知道主机B的Mac,请告诉我”，该ARP包所在的帧的目的Mac地址为_ff:ff:ff:ff:ff:ff_,说明这是一个广播包。2. 机房中的所有机器都收到了这个广播包，其中有一台机器回答了一个ARP包，该包说：主机B的Mac地址为_f0:92:1c:16:42:0b_, 回答的机器是 主机B交换机因为该ARP包所在的帧的源地址为f0:92:1c:ed:0a:d03.主机A向主机B发出一个ping request(ping请求)包，该包所在的帧的类型字段的值为_0x0800_ (16进制表示)，说明该帧的上层协议为_IPv4_。从首部明细区的封装过程可以看出，该包的最高层封装协议为Ethe

6、rnetIP ICMP4.主机B向主机A发出一个ping reply(ping响应)包。实验三 网络层数据包抓包分析相关理论网络层使用的协议包括IP、ICMP、ARP等。其中IP数据包占据网络流量的大部分。IP数据包分为“报头区”和“数据区”两部分，其格式如下：格式中主要字段含义如下：版本：长度为4位。取值一般为0100（Ipv4）或0110（Ipv6）。报头长度：长度为4位。指明“报头区”的长度，以32bit为单位。在“报头区”中只有“选项+填充”字段的长度是可变的，其他字段的长度都是固定的。例如：某IP包的报头长度值为0111，表示该IP包的报头长度为7*32bit=28byte，可以计算

7、出该IP包“选项+填充”字段的长度为（7-5）*32bit=8byte。总长度：长度为16位。表示包括“报头区”+“数据区”在内的IP包的总长度，以字节（8bit）为单位。生存周期：长度为8位。该字段设置了该IP包可以经过的最多路由器数, 一旦经过一个处理它的路由器,它的值就减去1，当该字段的值为0时,数据报就被丢弃,并发送ICMP消息通知源主机这种机制可以防止网络出现环路时IP包被不断发送。初始值由源主机设置（通常为32或64）。协议：长度为8位，用于指定该IP包的上层协议，常见取值有6（TCP）、17（UDP）、1（ICMP）。源IP、目的IP：长度为32位。用于指定发送者和所期望的接收者

8、的IP地址,在网络传输的过程中基值不会发生变化。实验内容（1）使用Wireshark软件抓取指定IP包。（2）对抓取的数据包按协议格式进行各字段含义的分析。实验步骤（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入,网页打开后停止抓包。（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。过滤的结果就是和刚才打开的网页相关的数据包。（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用于向网站服务器发出http get请求（5）选中该帧后，点开该帧首部封装明

9、细区中Internet Protocol前的”+”号，显示该帧所在的IP包的头部信息和数据区：（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据）回答以下问题：1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协议版本为： IPv4IPv62、该IP包的“报头长度”字段值为_0101_(2进制表示)，该值代表该IP包的报头长度为_20_字节。3、该IP包的“总长度”字段值为_110110011_(2进制表示)，该值代表该IP包的总长度为_435_

10、字节，可以推断出该IP包的数据区长度为_415_字节。4、该IP包的“生存周期”字段值为_1000000_ (2进制表示)，该值代表该IP包最多还可以经过_32_个路由器5、该IP包的“协议”字段值为_00000110_ (2进制表示) ，该值代表该IP包的上层封装协议为_Ethernet II_。6、该IP包的“源IP地址”字段值为11000000 10101000 00101000 00001011_(2进制表示) ，该值代表该IP包的源IP地址为_192_._168_._40_._11_。7、该IP包的“目的IP地址”字段值为10110100 10011001 11000100 1101

11、1110 (2进制表示) ，该值代表该IP包的目的IP地址为_180_._153_._196_._222_。实验四 传输层数据包抓包分析相关理论（1）传输层：负责端到端的传输，只在数据传输的发送端和接收端工作，在传输过程中数据最高只被封装到网络层。传输层使用的协议主要有TCP和UDP等。TCP是面向连接的、可靠的传输层协议，UDP是非连接的、不可靠的传输层协议。（2）端口：端口是传输层与应用层的服务接口。传输层的复用和分用功能都要通过端口才能实现。使用传输层的每个终端有多个端口，用于区分同时进行的多项传输任务。例如一台服务器即作为web服务器又作为数据库服务器，客户端连接时应选择访问web服务

12、还是数据库服务，由于两个服务在一个IP上，只用IP无法进行区分，此时可以用不同的端口号区分。端口号范围为065535。（3）TCP分组的格式如下：格式中各字段说明如下：源端口（Source Port）：16位的源端口字段包含初始化通信的端口号。源端口和IP地址的作用是标识报文的返回地址。目的端口(Destination Port):16位的目的端口字段定义传输的目的。这个端口指明接收方计算机上的应用程序接口。序列号（Sequence Number）:该字段用来标识TCP源端设备向目的端设备发送的字节流，它表示在这个报文段中的第几个数据字节。确认号（Acknowledge Number）：TCP

13、使用32位的确认号字段标识期望收到的下一个段的第一个字节，并声明此前的所有数据已经正确无误地收到，因此，确认号应该是上次已成功收到的数据字节序列号加1。收到确认号的源计算机会知道特定的段已经被收到。确认号的字段只在ACK标志被设置时才有效。数据偏移（Data Offset）:这个4位字段包括TCP头大小。由于首部可能含有选项内容，因此TCP首部的长度是不确定的。首部长度的单位是32比特或4个八位组。首部长度实际上也指示了数据区在报文段中的起始偏移值。保留（Reserved）:6位置0的字段。为将来定义新的用途保留。、控制位(Control Bits):共6位，每一位标志可以打开一个控制功能。

14、URG(Urgent Pointer Field Significant,紧急指针字段标志):表示TCP包的紧急指针字段有效，用来保证TCP连接不被中断，并且督促中间齐备尽快处理这些数据。 ACK（Acknowledgement field significant,确认字段标志）:取1时表示应答字段有效，也即TCP应答号将包含在TCP段中，为0则反之。 PSH(Push Function,推功能)：这个标志表示Push操作。所谓Push操作就是指在数据包到达接收端以后，立即送给应用程序，而不是在缓冲区中排队。 RST（Reset the connection,重置连接）：这个标志表示感谢连接复

15、位请求，用来复位那些产生错误的连接，也被用来拒绝错误和非法的数据包。 SYN（Synchronize sequence numbers,同步序列号）:表示同步序号，用来建立连接。 FIN（No more data from sender，结束）:表示发送端已经发送到数据末尾，数据传送完成，发送FIN标志位的TCP段，连接将被断开。窗口（Window）:目的主机使用16位的窗口字段告诉源主机它期望每次收到的数据通的字节数。校验和（Checksum）:TCP头包括16位的校验和字段用于错误检查。紧急指针（Urgent Pointer）:紧急指针字段是一个可选的16位指针，指向段内的最后一个字节位置

16、，这个字段只在URG标志被设置时才有效。（4）TCP建立连接过程：俗称三次握手：第一次握手：A的TCP向B发出连接请求报文段，其首部中置同步比特SYN =1，并选择序号x，表明传送数据时的第一个数据字节的序号是x。第二次握手：B的TCP收到连接请求报文段后，如同意，则发回确认。B在确认报文段中应置SYN=1，其确认号应为x1，同时也为自己选择序号y。第三次握手：A收到此报文段后，向B给出确认，其确认号应为 y1。A和B的TCP通知上层应用进程，连接已经建立。实验内容（1）使用Wireshark软件抓取指定TCP数据包。（2）对抓取的数据包按协议格式进行各字段含义的分析。实验步骤（1）打开Wir

17、eshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入,网页打开后停止抓包。（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入tcp，按“Apply”进行过滤。在过滤的结果中找到如下三行：即为3次握手的过程。分析这3个TCP包，回答如下问题：1、第一个TCP包的目的端口为_36688_，封装它的IP包的目的IP为_183.61.51.120_，为什么_因为在次TCP中所有的目的IP都是这个_2、第一个TCP包的SYN值为_1_，ACK值为_0_，SEQ值为_0_。3、第二个TCP包的SYN值为_1_，ACK值为_1_，SEQ值为_0_。4、第三个TCP包的SYN值为_0_，ACK值为_1_，SEQ值为_1_。5、这三个数据包中有应用层协议(本例中为http)传来的数据吗？为什么？答：没有，因为这三个TCP包是在三次握手中，是建立数据连接的过程，因为数据连接都还没有建好，就不会有应用层的数据的传输。6、在数据经过的路由器上能看到这三个TCP包吗？为什么？答：看的到，因为这个数据经过路由器，就会被路由器的网卡接收到。